Prioritet: CVE-2026-41103 (Entra ID bypass) i CVE-2026-41089 (Netlogon SYSTEM eskalacija na domain controlleru)
Depositphotos
Microsoft je 13. svibnja 2026. izdao Patch Tuesday koji zakrpava između 118 i 138 sigurnosnih ranjivosti (razlika u broju ovisi o metodi broja uključivanje ili isključivanje ranjivosti koje zahtijevaju "no customer action"). Najznačajnija karakteristika ovog Patch Tuesdaya: nijedna ranjivost nije bila javno poznata ili aktivno exploitana u trenutku objavljivanja što je prva takva situacija od lipnja 2024. To nije sign-off za opuštenost; to je relativna statistička anomalija koja se ne može pouzdano projicirati u budućnost.
Od zakrpanih ranjivosti, dvije su posebno prioritetne za enterprise IT timove prema KrebsOnSecurity i Tenable analizi. CVE-2026-41103 je Elevation of Privilege ranjivost koja omogućuje neovlaštenom napadaču da se impersonira kao postojeći korisnik prezentiranjem krivotvorenih kredencijala, čime zaobilazi Entra ID (bivši Azure Active Directory) autentikacijski mehanizam. Microsoft procjenjuje eksploataciju kao "More Likely" što znači da su sigurnosni istraživači identificirali realistične napadačke vektore. CVE-2026-41089 je kritična stack-based buffer overflow ranjivost u Windows Netlogon protokolu koja napadaču bez ikakvih privilegija daje SYSTEM razinu pristupa na domain controlleru. Dostupne su zakrpe za sve Windows Server verzije od 2012 nadalje.
Ostale ranjivosti koje zaslužuju pažnju: CVE-2026-40361 i srodni Word RCE propusti (CVSS 8.4, critical, "Exploitation More Likely") koji se mogu triggirati otvaranjem malicioznog Word dokumenta u Microsoft Paintu. Za korisnike koji primaju Word dokumente od eksternih pošiljatelja što je gotovo svaka organizacija ovo je relevantan rizik. CVE-2026-35428 je command injection u Azure Cloud Shell koji omogućuje spoofing. CVE-2026-42898 i CVE-2026-42823 su CVSS 9.9 ranjivosti u Microsoft Dynamics 365 i Azure Logic Apps.
Ekosustav koji okružuje ovaj Patch Tuesday je važan za razumijevanje: u prethodnih 30 dana cPanel CVE-2026-41940 je masivno exploitirana (44.000+ servera), Canvas LMS je pretrpio katastrofalni napad koji je pogodio 275 milijuna korisnika, a Flowise CVSS 10.0 je u aktivnoj eksploataciji s 12.000-15.000 izloženih instanci. Kontekst je dakle izrazito aktivan u smislu napadačke aktivnosti, i odsutnost zero-dayeva u ovom Patch Tuesdayu ne znači da je situacija stabilna znači da Microsoft ovaj put nije bio unaware of issues before public disclosure.
Microsoft je 13. svibnja 2026. izdao Patch Tuesday koji zakrpava između 118 i 138 sigurnosnih ranjivosti (razlika u broju ovisi o metodi broja uključivanje ili isključivanje ranjivosti koje zahtijevaju "no customer action"). Najznačajnija karakteristika ovog Patch Tuesdaya: nijedna ranjivost nije bila javno poznata ili aktivno exploitana u trenutku objavljivanja što je prva takva situacija od lipnja 2024. To nije sign-off za opuštenost; to je relativna statistička anomalija koja se ne može pouzdano projicirati u budućnost.
Canvas LMS, platforma za upravljanje učenjem u vlasništvu kompanije Instructure, postala je meta napada koji je Wikipedia već definirala kao "2026 Canvas security incident" i označila ga najvećim obrazovnim sigurnosnim incidentom u snimljenom povijesti po globalnom opsegu. Napad je pogodio 8.809 sveučilišta, obrazovnih ministarstava i institucija u cijelom svijetu, uključujući Columbia, Princeton, Harvard i Georgetown u SAD-u.
CVE-2026-41940 je authentication bypass ranjivost u cPanel i WebHost Manager (WHM) platformi najraširenijem web hosting control panel sustavu na internetu koji pokreće milijune hosting servera diljem svijeta. Ranjivost ima CVSS score 9.8 (critical) i omogućuje neautentificiranom udaljenom napadaču da zadobije root pristup bez ikakvih kredencijala.
